保护物联网设备的10个安全提示.docxVIP

PAGE 1 PAGE 1 保护物联网设备的10个安全提示  虽然物联网设备和工具有许多用途，可以让人们的工作和生活变得更轻松，但很多设备和工具可能有一些安全漏洞。  物联网是一把双刃剑。从配备智能门锁的智能家居到通过Wi-Fi自动煮沸早茶的水壶，物联网技术让人们的生活变得简洁得多，但其成本也可能要高得多。在物联网安全中，存在一些安全性权衡因素，并且可能弊大于利。  在物联网技术进入企业、家庭以及日常生活之前，人们需要了解表明安全重要性的一些例子。  物联网安全性：物联网设备使人们简单受伤害  黑客可以通过网络上的设备进入企业的网络。网络安全服务商Darktrace公司首席执行官NicoleEagan介绍了一起物联网设备安全事例，该事例发生在美国一家未透露名称的赌场，网络攻击者能够通过该赌场的一个水族馆智能温度计的漏洞访问其数据库。  在争论物联网设备安全性指南之前，人们需要了解一些物联网安全漏洞的例子。  家用消费类智能设备的安全漏洞  假如看过有关Alexa和GoogleHome智能助理中的安全漏洞是如何被欺诈并窃听用户的调查报告，那么人们对物联网设备安全性的担忧是对的。尽管亚马逊公司和谷歌公司每次都会采取应对措施，但他们仍被更新的网络攻击技术所挫败。  除此之外，三星公司推出的智能冰箱也有安全漏洞，由于其显示屏与用户的Gmail日历集成在一起，即使已部署SSL来确保Gmail集成的安全，冰箱本身也无法验证SSL/TLS证书，这为黑客进入其所在网络并窃取登录凭据打开了大门。  值得赞扬的是，三星公司在软件更新中修复了该错误，但当这个知名品牌都会遭到网络攻击并导致破坏时，这将让大量用户感到担心。这揭示了一个几乎不可避免的事实，即功能性往往优先于安全性，对于知名厂商更是如此。更重要的是，2015年，三星集团还表示将在其智能电视中收集和使用用户的数据：假如用户的口令包含个人信息或其他敏感信息，则这些信息可能通过使用语音识别技术捕获并传输给第三方。  例如全球知名的苹果公司在遭遇网络攻击方面也难以幸免。2019年2月，用户在苹果公司的FaceTime应用程序中发觉了一个严重漏洞，网络攻击者可以在接受或拒绝来电之前访问某人的iPhone摄像头和麦克风。  随着网络攻击者找到奇妙的方法来躲避安全掌握以窃取数据，造成的破坏或许只是一种破坏性的行为，但是，假如这样的事例发生在智能家居设施，那么将会发生什么?  物联网设备被Mirai公司等大型僵尸网络利用  Mirai是一种以物联网为中心的恶意软件，它以弱凭据来感染物联网设备，将其转变为远程掌握的僵尸或机器人网络。尽管Mirai的创建者已被抓获，但他们已对外发布了该恶意软件的源代码(可能是为了混淆和分散留意力)，现在它具有多个变体。  僵尸网络已被用来发起多种DDoS攻击，其中一种攻击是针对罗格斯大学的网络攻击，另一种针对为Netflix和Twitter等知名厂商供应域名服务的Dyn公司的攻击。  植入式医疗器械的安全漏洞  在科技领域，几乎没有什么设备能逃脱网络罪犯的掌握，其中包括医疗设备。  在2018年召开的一次黑帽会议上，WhiteScope公司的BillyRios和QEDSecureSolutions公司的JonathanButts展示了黑客如何通过远程掌握技术攻击可以挽救患者生命的植入式医疗器械，并可能进行操纵对患者造成伤害。两位安全研究人员演示了如何禁用胰岛素泵并掌握美敦力公司生产的心脏起搏器系统。作为回应，美敦力公司将这个漏洞清除，但并未承认这种状况的严重性，甚至在这个漏洞警报提交给他们570天之后，该公司仍没有积极解决这个问题。  人们为此可能推想，由远程掌握的物联网设备组成的网络如何被用来摧毁电网(或用于供水系统的监控与数据采集系统，或掌握天然气管道等)，或者婴儿监护仪可能被黑客攻击，这些设想会令人感到担心。但仍旧可以确定的是物联网设备的漏洞将会连续存在。因此，假如要避免危机，物联网设备制造商需要更加留意其中的安全风险，高级持续性威逼(APT)更加危急。  物联网最大的安全风险是什么?  尽管人们对物联网面临的最大安全风险没有太多发言权，但可以在某种程度上通过采取一些安全措施来保护物联网设备。开放式网络应用程序安全项目(OWASP)基金会是一个全球性的非营利性组织，旨在提高企业对网络应用程序安全性、移动设备安全性等领域中的安全风险的意识，以便组织和个人可以做出明智的打算。  下表列出了开放式网络应用程序安全项目(OWASP)基金会于2014和2018年在智能设备中发觉的十大物联网漏洞